Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Exchange Server Exchange Server 2007 Использование сервера Exchange 2007 Edge Server в качестве ретранслятора почты в организациях Exchange 2003 (часть 2) RSS

Использование сервера Exchange 2007 Edge Server в качестве ретранслятора почты в организациях Exchange 2003 (часть 2)

Текущий рейтинг: 5 (проголосовало 1)
 Посетителей: 3175 | Просмотров: 4613 (сегодня 0)  Шрифт: - +

Внутренний коннектор получения с Exchange 2003

Хотя стандартный коннектор получения на сервере Edge Transport можно использовать для приема почты из интернета и организации Exchange, в качестве лучшей практики рекомендуется настраивать второй коннектор получения для разделения SMTP трафика и настройки различных способов аутентификации.

  1. Откройте консоль EMC, нажмите Edge Transport, а затем в рабочей панели перейдите в закладку Коннекторы получения. В панели действий выберите Новый коннектор получения (New Receive Connector). На странице Новый SMTP коннектор получения (рисунок 21), введите уникальное Имя коннектора. Из меню списка Выбор области использования этого коннектора (Select the intended use for this connector) выберите опцию Внутренний и нажмите Далее.

*
Увеличить

Рисунок 21: Новый SMTP коннектор получения

  1. На странице Параметры удаленной сети (Remote Network settings) (рисунок 22) удалите все записи диапазонов сети и нажмите Добавить. В диалоговом окне Добавление IP адреса(сов) удаленного сервера (Add IP Address(es) of Remote Servers) введите IP адрес(а) сервера-плацдарма Exchange 2003, который будет пересылать сообщения на сервер Edge. Нажмите OK, а затем нажмите Далее.

*
Увеличить

Рисунок 22: Параметры удаленной сети

  1. На странице Новый коннектор (рисунок 23) нажмите Новый, а затем, на странице Завершение , нажмите Готово.

*
Увеличить

Рисунок 23: Обзор нового коннектора

1. Создание SMTP коннекторов на сервере-плацдарме Exchange 2003 Bridgehead

На сервере Exchange 2003 выполните следующие шаги для создания SMTP коннектора, который будет настроен на отправку почты через Edge сервер:

  1. Откройте системный диспетчер Exchange 2003 System Manager. Разверните Административные группы (Administrative Groups), а затем разверните административную группу, которую собираетесь настроить. Разверните Группы пересылки (Routing Groups), нажмите правой клавишей на Коннекторах (Connectors), выберите опцию Новый (New), а затем выберите опцию SMTP коннектор . В закладке Общие (General) (рисунок 24), введите уникальное Имя, выберите опцию Пересылать всю почту через этот коннектор на следующие промежуточные узлы (Forward all mail through this connector to the following smart hosts) и введите IP адрес или FQDN сервера Edge Transport. Нажмите Добавить (Add) и в диалоговом окне Добавить плацдарм (Add Bridgehead) выберите один или несколько серверов Exchange 2003, которые будут использоваться в качестве плацдармов для этого коннектора.

*

Рисунок 24: Закладка Общие для коннектора Exchange 2003 SMTP

  1. Выберите закладку Адресное пространство (Address Space) (рисунок 25), нажмите Добавить и в диалоговом окне Добавить адресное пространство (Add Address Space) выберите SMTP, после чего нажмите OK. На странице Свойства адресного пространства интернета (Internet Address Space Properties) введите ‘‘*’’ для Адреса и Значение (Cost) 10. Нажмите OK дважды, чтобы закрыть страницу свойств коннектора SMTP.

*

Рисунок 25: Закладка адресного пространства коннектора Exchange 2003 SMTP

Теперь, когда внутренние коннекторы получения созданы на сервере Edge и коннектор получения SMTP создан на сервере-плацдарме Exchange 2003, мы можем выбрать способ аутентификации:

  • Базовая аутентификация по TLS (Basic Authentication over TLS) требует создания локальной учетной записи на сервере Edge и предоставления прав этой учетной записи на внутреннем коннекторе получения.
  • Анонимный доступ (Anonymous Access) требует удаления способов аутентификации на внутреннем коннекторе получения.

2. Внутренний коннектор получения с базовой аутентификацией по TLS

  1. Сервер Edge Transport создает учетные данные, которые используются сервером Exchange 2003 для аутентификации при отправке электронной почты. Создайте пользовательскую учетную запись в папке «Пользователи» контейнера Локальные пользователи и группы (Local Users and Groups) на сервере Edge Transport (рисунок 26).

*

Рисунок 26: Новый локальный пользователь

  1. Измените используемый для этого коннектора получения способ аутентификации. Откройте консоль управления EMC. Найдите коннектор получения, которые хотите изменить, и затем в панели действий выберите Свойства (Properties). Перейдите в закладку Аутентификация (Authentication). Выберите опции Базовая аутентификация (Basic Authentication) и Предлагать базовую аутентификацию только после запуска TLS (Offer Basic authentication only after starting TLS) (рисунок 27). Нажмите OK.

*

Рисунок 27: Параметры аутентификации коннектора получения

  1. Выполните следующую команду в оболочке Exchange Management Shell для предоставления разрешений на новом коннекторе получения учетной записи локального пользователя, которую мы создали ранее: Add-AdPermission -Identity "Internal Receive Connector [from Exchange 2003]" -User E2K7EDGE\E2K3Auth -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

*
Увеличить

Рисунок 28: Add-AdPermission

  1. Затем вернитесь на сервер-плацдарм Exchange 2003. На странице Свойства коннектора Exchange 2003 SMTP выберите закладку Дополнительно (Advanced) и нажмите Безопасность исходящих подключений (Outbound Security). В диалоговом окне Безопасность исходящих подключений (рисунок 29) выберите опцию Базовая аутентификация, а затем нажмите Изменить (Modify). В диалоговом окне Учетные данные исходящих подключений (Outbound Connection Credentials) введите имя пользователя и пароль учетной записи локального пользователя сервера Edge Transport, а затем нажмите OK. В диалоговом окне Безопасность исходящих подключений выберите опцию TLS шифрование. Дважды нажмите OK.

*

Рисунок 29: Параметры безопасности исходящих подключений коннектора SMTP

3. Внутренний коннектор получения с анонимным доступом

Чтобы использовать анонимный доступ, нам необходимо изменить метод аутентификации, который мы использовали для коннектора получения.

  1. Откройте консоль EMC на сервере Edge. Найдите коннектор получения, который хотите изменить, и затем в панели Действия (Actions) выберите Свойства (Properties). Перейдите в закладку Аутентификация (рисунок 30). Убедитесь, что единственным способом аутентификации является Внешне защищенный (например с помощью IPsec) (Externally Secured (for example with IPsec)), а затем нажмите OK.

*

Рисунок 30: Параметры аутентификации коннектора получения

4. Настройка MX записи

Последним шагом конфигурации будет настройка сервера Edge Transport на прием входящих SMTP подключений в организацию. Это можно сделать путем изменения DNS MX записей на прямую почтовую рассылку для доменов SMTP на сервер Edge. Если у вас есть брандмауэр или другое оборудование безопасности между сервером Edge и интернетом, вам лишь нужно будет изменить правила брандмауэра или внести другие изменения в конфигурацию, чтобы почта на ваших обслуживаемых доменах правильно пересылалась.

Но сначала нужно выполнить некоторые тесты...

Тесты

Прежде чем вводить только что настроенный Edge сервер в производство и изменять MX запись, нужно сначала его протестировать. На данном этапе должно быть настроено четыре коннектора (рисунок 31):

  • Стандартный коннектор получения: используется для получения почты из интернета
  • Внутренний коннектор получения: используется для получения почты из организации Exchange 2003
  • Коннектор отправки интернет: используется для отправки почты в интернет
  • Внутренний коннектор отправки: используется для пересылки входящей интернет почты в организацию Exchange 2003

*

Рисунок 31: Коннекторы Edge

Совет: во время проверки вы должны отключить функции антиспама для сервера Edge (Фильтрация содержимого (Content Filtering)) и сервера-плацдарма Exchange 2003 (IMF).

Почтовый поток из интернета на Exchange 2003

Поскольку на данном этапе MX запись еще не перенаправлена на новый сервер Edge, чтобы симулировать входящую почту, нам нужно сделать это самым трудным способом: используя глаголы команды SMTP!

  1. Зайдите через Telnet на порт 25 внешнего IP адреса сервера Edge (на котором слушает стандартный коннектор получения). Используя глаголы команды SMTP, отправьте сообщение внутреннему пользователю (рисунок 32).

*
Увеличить

Рисунок 32: Тестирование с помощью глаголов команды SMTP

  1. Для проверки того, что сообщение было успешно доставлено, либо проверьте папку входящих сообщений этого пользователя, либо найдите это сообщение с помощью центра отслеживания почты Exchange 2003 Tracking Center (рисунок 33).

*

Рисунок 33: Сообщение получено на Exchange 2003

Почтовый поток из Exchange 2003 в интернет

  1. Чтобы проверить почтовый поток в интернет, используя внутренний почтовый ящик, отправьте сообщение внешнему пользователю (это можно сделать, даже если ваш сервер Edge еще не подключен к интернету).
  2. Используя Exchange 2003 Tracking Center, убедитесь, что сообщение было успешно доставлено на Edge Server (рисунок 34).

*

Рисунок 34: Сообщение отправлено на Exchange Edge сервер

  1. Если сервер Edge уже подключен к интернету и способен доставлять почту, проверьте почтовый ящик получателя на предмет доставки почты. Если сервер Edge еще не может отправлять исходящую почту, в консоли EMC откройте Просмотр очереди (Queue Viewer) и найдите целевой домен, на который было отправлено сообщение. На рисунке 35 показано сообщение, ожидающее отправки для live.com.

*

Рисунок 35: Очередь сервера Exchange Edge

Дополнительные настройки

Есть несколько дополнительных задач настройки, таких как настройка функций антиспама, антивируса, правил транспортировки (например, добавление оговорок) или даже разрешение серверам приложений отключаться от сервера Exchange 2007 Edge.

Если параметры антиспама на Exchange 2003 (IMF, фильтрация отправителей, черные списки и т.д.) у вас уже определены, вы можете использовать инструмент Exchange 2007 Anti-Spam Migration Tool для экспортирования этих параметров на сервер Edge Transport. Для дополнительной информации об использовании этого инструмента прочтите статью Exchange 2007 Anti Spam Migration Tool.

Диагностика

Во время настройки сервера Edge я получил первую ошибку, когда пытался создать интернет коннектор отправки (рисунок 36):

Нужно указать, как минимум, один сервер источника.

Использованная команда Exchange Management Shell: new-SendConnector -Name 'Internet Send Connector' -Usage 'Internet' -AddressSpaces 'SMTP:*;10' -IsScopedConnector $false -DNSRoutingEnabled $true -UseExternalDNSServersEnabled $false

*
Увеличить

Рисунок 36: Ошибка: Необходимо указать как минимум один сервер источника

Проблема возникла из-за того, что служба Exchange Transport была остановлена. Запуск этой службы должен исправить проблему.

Антиспам

Во время отправки тестового сообщения (и, возможно, после), некоторые сообщения могут блокироваться функциями антиспама сервера Exchange Server. Вы можете временно отключить эти функции, чтобы диагностировать проблему.

Для сервера Edge Server выборочно отключите агентов фильтрации спама.

Для сервера-плацдарма Exchange 2003 уберите связь функций антиспама с виртуального сервера SMTP (рисунок 37).

*
Увеличить

Рисунок 37: Зависимости антиспама Exchange 2003

Центр отслеживания сообщений

Центр отслеживания сообщений (рисунок 38) является отличным инструментом, который можно использовать для поиска любого сообщения в организации Exchange 2003.

*
Увеличить

Рисунок 38: Центр отслеживания сообщений

Протоколы регистрации событий

Exchange Servers (2003 и 2007) имеет множество логов с полезной информацией. Я не буду описывать все имеющиеся опции, я лишь скажу, что для данной статьи логи протокола (Protocol Logs) могут быть очень полезными. Например, давайте посмотрим на логи Exchange 2003, которые по умолчанию расположены в C:\WINDOWS\system32\LogFiles\SMTPSVC1 (некоторые поля были сокращены для более удобного чтения).

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-04-25 12:40:36
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent)
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 EHLO - +E2K7EDGE.mycorp.org 250 0 283 24 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 STARTTLS - - 220 0 0 8 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 STARTTLS - - 220 0 29 8 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 EHLO - +E2K7EDGE.mycorp.org 250 0 327 24 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 MAIL - +FROM:<someone@company.com> 250 0 65 48 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 RCPT - +TO:<administrator@virtual.com> 250 0 59 35 0 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 BDAT - +<5e575a1c-b03c-4978-9a9e-a73d3c33fea8@E2K7EDGE.mycorp.org> 250 0 117 587 157 SMTP - -
2009-04-25 E2K7EDGE SMTPSVC1 VM1 10.10.1.111 0 QUIT - E2K7EDGE.mycorp.org 240 2219 85 4 0 SMTP - -

Вы можете определить, что означает эта часть лога? Это Exchange 2003 получает то самое тестовое сообщение, которое я отправил через Telnet с помощью команд SMTP.

Но Exchange 2007 также имеет несколько замечательных логов протокола, однако не следует забывать о включении уровня записи логов Verbose в Свойствах нужного коннектора (рисунок 39).

*

Рисунок 39: Уровень протоколирования логов

Эти логи расположены в C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\ по умолчанию. Давайте рассмотрим часть логов отправки того же сообщения в предыдущем логе (некоторые поля были изменены):

#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Send Protocol Log
#Date: 2009-04-25T13:00:47.231Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2009-04-25T13:00:47.231Z,0,*,,attempting to connect
2009-04-25T13:00:47.231Z,1,+,,
2009-04-25T13:00:47.247Z,2,<,"220 vm1.virtual.com Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Sat, 25 Apr 2009 14:00:47 +0100 ",
2009-04-25T13:00:47.247Z,3,>,EHLO E2K7EDGE.mycorp.org,
2009-04-25T13:00:47.262Z,4,<,250-vm1.virtual.com Hello [10.10.1.100],
2009-04-25T13:00:47.262Z,5,<,250-TURN,
2009-04-25T13:00:47.262Z,6,<,250-SIZE,
2009-04-25T13:00:47.262Z,7,<,250-ETRN,
2009-04-25T13:00:47.262Z,8,<,250-PIPELINING,
2009-04-25T13:00:47.262Z,9,<,250-DSN,
2009-04-25T13:00:47.262Z,10,<,250-ENHANCEDSTATUSCODES,
2009-04-25T13:00:47.262Z,11,<,250-8bitmime,
2009-04-25T13:00:47.262Z,12,<,250-BINARYMIME,
2009-04-25T13:00:47.262Z,13,<,250-CHUNKING,
2009-04-25T13:00:47.262Z,14,<,250-VRFY,
2009-04-25T13:00:47.262Z,15,<,250-TLS,
2009-04-25T13:00:47.262Z,16,<,250-STARTTLS,
2009-04-25T13:00:47.262Z,17,<,250-X-EXPS GSSAPI NTLM,
2009-04-25T13:00:47.262Z,18,<,250-AUTH GSSAPI NTLM,
2009-04-25T13:00:47.262Z,19,<,250-X-LINK2STATE,
2009-04-25T13:00:47.262Z,20,<,250-XEXCH50,
2009-04-25T13:00:47.262Z,21,<,250 OK,
2009-04-25T13:00:47.262Z,22,>,STARTTLS,
2009-04-25T13:00:47.262Z,23,<,220 2.0.0 SMTP server ready,
2009-04-25T13:00:47.262Z,24,*,,Sending certificate
2009-04-25T13:00:47.262Z,25,*,CN=E2K7EDGE,Certificate subject
2009-04-25T13:00:47.262Z,26,*,CN=E2K7EDGE,Certificate issuer name
2009-04-25T13:00:47.262Z,27,*,E60C8B2919103D984D2AEAD282D85C3E,Certificate serial number
2009-04-25T13:00:47.262Z,28,*,8F7D14A3ED220AAD5344E1B591FC9941D8D57522,Certificate thumbprint
2009-04-25T13:00:47.262Z,29,*,E2K7EDGE;E2K7EDGE.mycorp.org,Certificate alternate names
2009-04-25T13:00:47.262Z,30,*,,Received certificate
2009-04-25T13:00:47.262Z,31,*,D16428229959D997CF448CE94CFEEB964BBE9578,Certificate thumbprint
2009-04-25T13:00:47.309Z,32,*,Valid,Chain validation status
2009-04-25T13:00:47.309Z,33,*,,SmartHost certificate
2009-04-25T13:00:47.309Z,34,*,CN=vm1.virtual.com,Certificate subject
2009-04-25T13:00:47.325Z,35,*,"CN=My Internal CA, DC=virtual, DC=com",Certificate issuer name
2009-04-25T13:00:47.325Z,36,*,61107EC0000000000007,Certificate serial number
2009-04-25T13:00:47.325Z,37,*,D16428229959D997CF448CE94CFEEB964BBE9578,Certificate thumbprint
2009-04-25T13:00:47.325Z,38,*,vm1.virtual.com,Certificate alternate names
2009-04-25T13:00:47.325Z,39,>,EHLO E2K7EDGE.mycorp.org,
2009-04-25T13:00:47.466Z,40,<,250-vm1.virtual.com Hello [10.10.1.100],
2009-04-25T13:00:47.466Z,41,<,250-TURN,
2009-04-25T13:00:47.466Z,42,<,250-SIZE,
2009-04-25T13:00:47.466Z,43,<,250-ETRN,
2009-04-25T13:00:47.466Z,44,<,250-PIPELINING,
2009-04-25T13:00:47.466Z,45,<,250-DSN,
2009-04-25T13:00:47.466Z,46,<,250-ENHANCEDSTATUSCODES,
2009-04-25T13:00:47.466Z,47,<,250-8bitmime,
2009-04-25T13:00:47.466Z,48,<,250-BINARYMIME,
2009-04-25T13:00:47.466Z,49,<,250-CHUNKING,
2009-04-25T13:00:47.466Z,50,<,250-VRFY,
2009-04-25T13:00:47.466Z,51,<,250-X-EXPS GSSAPI NTLM LOGIN,
2009-04-25T13:00:47.466Z,52,<,250-X-EXPS=LOGIN,
2009-04-25T13:00:47.466Z,53,<,250-AUTH GSSAPI NTLM LOGIN,
2009-04-25T13:00:47.466Z,54,<,250-AUTH=LOGIN,
2009-04-25T13:00:47.466Z,55,<,250-X-LINK2STATE,
2009-04-25T13:00:47.466Z,56,<,250-XEXCH50,
2009-04-25T13:00:47.466Z,57,<,250 OK,
2009-04-25T13:00:47.481Z,58,>,AUTH LOGIN,
2009-04-25T13:00:47.497Z,59,<,334 <authentication information>,
2009-04-25T13:00:47.497Z,60,>,<Binary Data>,
2009-04-25T13:00:47.497Z,61,<,334 <authentication information>,
2009-04-25T13:00:47.497Z,62,>,<Binary Data>,
2009-04-25T13:00:47.512Z,63,<,235 2.7.0 Authentication successful.,
2009-04-25T13:00:47.528Z,64,*,6,sending message
2009-04-25T13:00:48.794Z,93,>,MAIL FROM:someone@company.com> SIZE=969 AUTH=<,
2009-04-25T13:00:48.794Z,94,>,RCPT TO:administrator@virtual.com,
2009-04-25T13:00:48.794Z,95,<,250 2.1.0 someone@company.com....Sender OK,
2009-04-25T13:00:48.966Z,96,<,250 2.1.5 administrator@virtual.com ,
2009-04-25T13:00:48.966Z,97,>,BDAT 574 LAST,
2009-04-25T13:00:49.122Z,98,<,250 2.6.0  <5e575a1c-b03c-4978-9a9e-a73d3c33fea8@E2K7EDGE.mycorp.org> Queued mail for delivery,
2009-04-25T13:00:49.450Z,106,>,QUIT,
2009-04-25T13:00:49.450Z,107,<,221 2.0.0 vm1.virtual.com Service closing transmission channel,
2009-04-25T13:00:49.450Z,108,-,,Local

Здесь мы видим все проходившие процессы, такие как обмен сертификатами, приветствие TLS и все необходимые SMTP команды.

Заключение

Добавление сервера Exchange 2007 Edge в качестве ретранслятора SMTP в организации Exchange 2003 не требует апгрейда внутренних серверов, а также не требует расширения схемы Active Directory. Это означает, что вы можете сразу приступать к использованию таких функций, как антиспам, антивирус и правила транспортировки, имеющихся на сервере, который был разработан с целью свести к минимуму возможность атак.

Это открывает новые возможности, так как очень безопасный сервер со всеми механизмами защиты почты создан для работы в демилитаризованной зоне (DMZ), и может использоваться в существующих организациях Exchange 2003 и практически всех почтовых системах, используемых сегодня.

Дополнительные ссылки

Автор: Руи Силва  •  Иcточник: www.msexchange.ru  •  Опубликована: 22.09.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   Exchange 2007, Edge Server.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.